#Gate广场五月交易分享

Les pertes en DeFi atteignent le sommet de $600M en avril — le mois le plus catastrophique de l'histoire de la sécurité crypto

Avril 2026 est désormais confirmé comme le mois le plus destructeur de l'histoire de la finance décentralisée. DeFiLlama a enregistré entre 28 et 30 incidents d'exploitation distincts avec des pertes dépassant 635 millions de dollars, tandis que le rapport mensuel final de CertiK a estimé le total à environ 651 millions de dollars, le pire chiffre depuis mars 2022, lorsque l'industrie a perdu environ 715 millions de dollars. Ce seul mois a effacé 3,7 fois le total du premier trimestre 2026 d'environ 164 millions de dollars et a représenté une hausse stupéfiante de 1140 % par rapport aux pertes de 52,2 millions de dollars en mars. Le hashtag #DeFiLossesTop600MInApril est confirmé, réalité vérifiée par les données.

Deux méga-fuites ont entraîné 93 % des pertes d'avril

Drift Protocol (1er avril) : ~285 millions de dollars volés. TRM Labs a retracé l'attaque au groupe nord-coréen UNC4736 (Citrine Sleet), qui a passé six mois à ingénierie sociale sur les membres de l'équipe Drift sur Solana. L'attaquant a pris le contrôle d'une clé de signature AWS privilégiée, a créé près de 80 millions de tokens USR contre un collatéral minimal, et a drainé USDC, JLP, SOL, et d'autres actifs des pools de stockage.

KelpDAO (18 avril) : ~293 millions de dollars volés. La cause principale était une configuration catastrophique du réseau de vérificateurs décentralisés (DVN) 1-sur-1 sur le pont LayerZero V2 de KelpDAO. L'attaquant, attribué au groupe Lazarus (TraderTraitor), a accédé à deux nœuds vérificateurs, injecté de faux messages inter-chaînes, puis lancé une attaque DDoS contre des nœuds RPC légitimes pour forcer le basculement vers une infrastructure contrôlée par l'attaquant. Ils ont drainé 116 500 rsETH. LayerZero a confirmé qu'une configuration multi-DVN aurait totalement empêché cela. Ensemble, ces deux attaques ont représenté 93 % des pertes totales en dollars d'avril et figurent dans le top 10 des plus grands hacks crypto depuis 2021.

L'effet cascade d'Aave : compression du TVL DeFi en 48 heures

L'attaquant de KelpDAO a déposé 249,7 millions de dollars de rsETH volés en tant que collatéral sur Aave V3 et V4 à travers Ethereum et Arbitrum, empruntant 83 427 WETH et wstETH (~228,2 millions de dollars d'actifs réels) contre des tokens non garantis. Cela a créé environ 196 millions de dollars de créances douteuses sur Aave. Aave a gelé les marchés rsETH en quelques heures, mais la panique a éclaté : 8,45 milliards de dollars de dépôts ont fui Aave en 48 heures, entraînant une baisse de 13 % du TVL total de la DeFi, passant de 99,497 milliards à 86,286 milliards de dollars, une compression de 13 % en deux jours. Le token AAVE a chuté de 16 %. Ethereum a connu à lui seul 1,6 milliard de dollars de sorties DeFi le 24 avril.

Corée du Nord : 76 % de toutes les pertes de hacking crypto en 2026

TRM Labs rapporte que les hackers soutenus par l'État nord-coréen représentent 76 % de toutes les pertes dues aux hacks et escroqueries crypto en 2026, avec 575 millions de dollars volés en seulement 18 jours sur Drift et KelpDAO. Leurs vols attribués depuis 2017 dépassent 6 milliards de dollars. Le vice-CISO de BeyondTrust a déclaré : « La Corée du Nord a volé 575 millions de dollars en 18 jours parce que l'infrastructure comportait des points de confiance uniques, aucune validation de provenance, et des structures de gouvernance incapables de répondre à la vitesse de l'attaque. »

Changement de méthodologie d'attaque et complications de récupération

Les exploits d'avril révèlent un passage des bugs de contrats intelligents à des menaces multi-couches combinant ingénierie sociale, spoofing de ponts, et compromission d'infrastructures. Quatre exploits plus petits ont également ciblé des composants de ponts. Les ponts inter-chaînes commercialisés comme décentralisés restent des points de défaillance uniques. La récupération fait face à de nouveaux obstacles : l'enquêteur on-chain ZachXBT a exposé le cabinet d'avocats Gerstein Harrow LLP déposant de fausses réclamations pour plus de 71 millions de dollars en ETH gelés de KelpDAO, tentant de privilégier un jugement de 2015 sur les victimes du hack de 2026. Le groupe Lazarus est suspecté d'avoir déplacé $13B en ETH malgré le gel de 71 millions de dollars par Arbitrum.

Avril 2026 a prouvé trois choses : les configurations de ponts à un seul DVN sont des surfaces d'attaque catastrophiques, les tokens de restaking liquide en tant que collatéral créent un risque systémique pouvant comprimer le TVL de $175M en 48 heures, et les attaquants étatiques opèrent désormais avec des mois d'ingénierie sociale combinés à des exploits techniques à l'échelle de l'infrastructure. Les configurations multi-DVN, la validation de provenance, et l'audit continu piloté par IA sont des exigences minimales de survie. Les pertes sont vérifiées. Les vulnérabilités structurelles sont documentées. À moins que la DeFi ne revoie fondamentalement sa sécurité.